Sept navigateurs mobiles vulnérables aux attaques d’usurpation de la barre d’adresse
Les vulnérabilités permettent aux pirates d’inciter les cibles à se diriger vers des sites malveillants tout en affichant l’URL incorrecte dans la barre d’adresse. La vulnérabilité « d’usurpation de la barre d’adresse » représente en réalité un bug au sein même d’un navigateur Web permettant à un site web malveillant de modifier sa véritable URL et d’en afficher une fausse à la place (en général, une URL pour un site légitime). On retrouve les vulnérabilités d’usurpation de la barre d’adresse depuis les débuts du Web, mais aujourd’hui, elles sont devenues encore plus dangereuses.
Les navigateurs de bureau par exemple, ont différents signes et fonctions de sécurité qui peuvent être utilisés pour détecter quand un code malveillant modifie la barre d’adresse pour afficher une fausse URL. Néanmoins, ceci n’est pas possible sur les navigateurs mobiles où la taille de l’écran est limitée, et où de nombreuses fonctionnalités de sécurité présentes dans les navigateurs de bureau manquent.
Selon un rapport publié par la société de cybersécurité Rapid7, l’entreprise a déclaré avoir travaillé avec le chercheur en sécurité pakistanais Rafay Baloch afin de divulguer dix nouvelles failles d’usurpation de la barre d’adresse repérées dans sept applications de navigateur mobile.
Les navigateurs concernés englobent des titres assez connus dont : Apple, Safari, Opera Touch et Opera Mini, mais aussi d’autres applications comme : Bolt, RITS, UC Browser et Yandex Browser. Les problèmes ont été découverts au début de cette année et signalés aux fabricants de navigateurs en août dernier. Les problèmes ont été immédiatement corrigés par les grands fournisseurs, alors que les fournisseurs moins importants n’ont même pas pris la peine de répondre aux chercheurs, laissant leurs navigateurs vulnérables aux attaques.
L’exploitation de ces bugs nécessite un navigateur obsolète et un attaquant qui arrive à attirer avec succès les utilisateurs vers des sites malveillants. Selon Beardsley, les attaques peuvent facilement être montées et recommande aux utilisateurs l’exécution d’une mise à jour de leurs navigateurs le plus rapidement possible ou bien de passer à des navigateurs non affectés par ces failles.